サプライチェーンセキュリティとリスク管理で脅威に対抗
ビジネスに対する脅威は至る所に存在します:従業員、ベンダー、ハッカー。ここでサプライチェーンセキュリティが、強固なセキュリティ戦略において重要になります。
サプライチェーンセキュリティとは何ですか?これは、ビジネスのサプライチェーンが内部および外部の物理的およびサイバー脅威をどのように軽減できるかを包括する用語です。これらの脅威には、物理的な盗難からネットワークへのハッカーの侵入まで、さまざまなものが含まれます。
ITおよびデータシステムにおけるサプライチェーンセキュリティとは?
歴史的に、「サプライチェーン」という用語は、商品やサービスをある場所から別の場所に移動するための特定の物流慣行を指していました。つまり、特定の物理的な文脈を持っていました。今日でも、「サプライチェーン」はしばしば、商品をある場所から別の場所に移動するための輸送、物流、トラック輸送、旅行ルートに適用されます。
デジタルシステムとインフラストラクチャに関しては、サプライチェーンは、データ駆動型のビジネスや政府機関をサポートするために設置されたハードウェア、ソフトウェア、クラウドプラットフォーム、セキュリティ対策を指します。これらのサプライチェーンは、現代のデジタル世界で組織が持つ最も重要な資産であるデータの移動を管理します。主要なデジタルサプライチェーンには、銀行や金融、政府サービス、防衛契約が含まれます。
伝統的なサプライチェーンとデジタルサプライチェーンには類似点があります。たとえば、多くの製造業者は、部品が中央の場所に流れ込み、車や産業機器のような大きな物体の作成をサポートする上流のサプライチェーンに依存しています。同様に、デジタルサプライチェーンは、以前に述べた業界での大規模な運用をサポートするために、クラウドやマネージドサービスの上流の流れに依存しています。Salesforce、Microsoft AzureやOffice 365、AWS Cloud Servicesのようなプラットフォームは、ストレージ、分析、セキュリティ、ネットワークサポートと分析、さらにはAIや機械学習などの機能を、より包括的な物流に組み込む企業に提供します。
IT専門家は、過去数年間でデジタルサプライチェーン攻撃の増加を鋭く認識しています。特に上流のハッキングを通じたデジタルサプライチェーンに対する国家支援の攻撃は、現代のサイバー戦争の主要な前線となりつつあります。それに応じて、サプライチェーンリスク管理は、多くの組織にとって戦略的な取り組みとなっています。
デジタルサプライチェーンにますます影響を与える一般的な脅威と脆弱性のいくつかを以下に示します:
- セキュリティギャップの悪用:技術が進化しても、最悪の慣行の多くは依然として有効です。ハッカーが悪意のある目的でシステムにアクセスする一般的な方法の一つは、バグ、バックドア、または何らかの理由で無視されている既知の脆弱性を悪用することです。
- ベンダー関係:現代のハッキングの影響は、企業自体に限定されません。多くのクラウドプロバイダーは、民間企業や政府機関を含む広範なクライアントベースを持っています。クラウドインフラストラクチャに対する攻撃は、さまざまな企業や組織との関係により、ドミノ効果を引き起こす可能性があります。
- 知識やトレーニングの欠如:残念ながら、デジタルサプライチェーンの最も弱いポイントの一つは、通常、関与する人々です。強力なパスワードの選択やフィッシング攻撃の認識に関するトレーニングの欠如は、ビジネスとその顧客の完全な不安定化を引き起こす可能性があります。
- 持続的標的型攻撃(APT):セキュリティ侵害の最も脅威的な形態はAPTです。これらの脅威は単にシステムに感染して破壊するだけではありません。それらは、システムに潜り込み、組織内を横断し、上流に移動しながら、検出を回避する洗練されたプログラムです。一度侵入すると、すべてのシステムイベントを監視し、データを数週間、数ヶ月、さらには数年にわたって盗むことができます。
データ侵害は、ビジネスやパートナーのビジネスを完全に不安定化させる可能性のある高コストのイベントです。IBMとPonemon Instituteによると、データ侵害の平均コストは4.24百万ドルですが、その数字は時間、労力、評判にかかる追加のコストを考慮していません。
サプライチェーンセキュリティにサイバーセキュリティは十分ですか?
短い答えは「いいえ」です。単純なサイバーセキュリティの取り組みでは、サプライチェーンに潜在的に存在する脆弱性の表面をかすめるだけです。代わりに、組織は複数のフロントでのセキュリティに焦点を当てる必要があります:
- 潜在的なベンダーの審査と既存のベンダー関係の評価:ベンダーは、データを取り扱う際に、最低限、セキュリティの期待を満たすべきです。さらに、定期的な評価と評価を通じて、要件へのコンプライアンスを示す意欲と能力を持つべきです。最後に、ITリーダーシップは、第三者リスクを評価するために、ベンダー契約に年間評価を組み込むべきです。
- 積極的なサイバーセキュリティテスト:すべてのシステムで定期的なテストを実施しなければなりません。これは、定期的なペネトレーションテスト、レッドチーム演習、またはシステムの複数の相互接続層にわたる脆弱性を明らかにするための明確に計画されたシステムテストの組み合わせを実行することを意味します。
- 定期的なスキャン、監視、更新:定期的なテストの外で定期的な脆弱性スキャンを使用することができますし、使用すべきです。脆弱性スキャンはペネトレーションテストほど徹底的ではありませんが、出現する浅い脆弱性を明らかにするために、より頻繁に実行することができます。
- コンプライアンス基準の理解: HIPAAやCMMCのようなコンプライアンス規制は、それ自体ではすべてのセキュリティ要件をカバーするわけではありませんが、業界の専門家が主要な脅威とセキュリティの優先事項と見なすものの良いフレームワークを提供します。さらに、業界外のNIST CSFやISO 27001などのフレームワークを参照して、専門家がリスク評価と監視の実践をどのように使用してシステムを保護しているかを確認することができます。
- 物理的な場所のセキュリティ:物理的な場所がどれほど脆弱であるかを当然のことと考えないでください。放置されたラップトップや未施錠のドアは、攻撃者や悪意のある内部者が情報を盗む手段を提供します。すべてのデバイスにパスワードを設定し、これらのデバイスが暗号化された通信と安全な接続を使用することを確認し、データセンターやワークステーションをカメラと施錠されたドアで保護してください。
サプライチェーンセキュリティを達成するためのベストプラクティスは何ですか?
サプライチェーンセキュリティに最善のアプローチを取るためには、大局を理解することが重要です。デジタルサプライチェーン全体でデータを保護する際に考慮すべきいくつかのベストプラクティスがあります:
- 資産を理解する:資産、データ、ベンダー、およびすべての接続技術とインフラストラクチャをマッピングできる必要があります。リソースの在庫やカタログが最新でない理由は決してありません。見えないものは保護できません。
- リスク管理を受け入れる:サプライチェーンリスク管理(SCRM)は、既存のセキュリティコントロール、潜在的な脆弱性、規制要件、ビジネス目標の違いを理解し、バランスを取る技術と科学です。リスクベースのアプローチは、セキュリティの状況をよりよく理解し、問題に対処する必要がある場所を特定するのに役立ちます。
- ベンダー関係に対する実践的なアプローチを取る:前述のように、すべてのベンダー契約と関係の明確な地図を持つべきです。これには、アップグレードや技術の変更に伴う定期的な監査、レビュー、評価が含まれます。このアプローチは、パートナーや上流のクラウドまたはマネージドサービスからの脆弱性による課題を軽減するのに役立ちます。
- コンプライアンスを理解する:満たすべきコンプライアンス基準を知り、可能であれば、それを超えてセキュリティを強化してください。
- 完全な可視性を目指す:システム、システムイベント、技術、アップグレード、およびデータへのアクセス権を持つ人、彼らがそれをどのように使用し、どのように保護するかを最もよく理解するために必要なすべてを監視します。監視と改善計画には、請負業者、サプライヤー、ベンダー、さらには規制当局や顧客も含めてください。
サプライチェーンセキュリティは共通の利益と責任です
サプライチェーンセキュリティは、大企業だけでなく、あらゆるビジネスにとって必要な実践です。私の最高製品責任者が言ったように、「あなたは最も興味深い顧客と同じくらいしか興味深くありません。」組織犯罪シンジケートや国家が組織した攻撃者は、サプライチェーンパートナーを通じて間接的にデータにアクセスする方が成功する可能性が高いことを長い間学んできました。
規制、インフラストラクチャ、ベンダー関係を理解すれば、サプライチェーンリスクを大幅に軽減できます。サプライチェーンリスク管理のベストプラクティスを使用して、より広範なセキュリティプログラムを構築または強化してください。システムを継続的に監視し、アップグレードとパッチを理解し、ベンダーを審査および評価し、従業員を常にトレーニングして、可能な限り脆弱性を先取りしてください。